Descripcion CVE-2021-3002 en clases ordenador

vulnerabilidad

Seo Panel 4.8.0 permite XSS reflejado a través del parámetro de correo electrónico seo / seopanel / login.php? Sec = olvidado

Una vulnerabilidad clasificada como problemática fue encontrada en Seo Panel 4.8.0 . Una funcionalidad desconocida del archivo seo / seopanel / login.php? Sec = olvidó es afectada por esta vulnerabilidad . Por la manipulación del argumento emailcon un input desconocido se causa una vulnerabilidad de clase cross site scripting. La definición de CWE para la vulnerabilidad es CWE-79 . Como impacto, se sabe que afecta la integridad. Un atacante podría inyectar código html y script arbitrario en el sitio web. Esto alteraría la apariencia y permitiría iniciar más ataques contra los visitantes del sitio.

La debilidad se presentó el 02/01/2021. Es posible leer el aviso en cinquino.eu . Esta vulnerabilidad se conoce como CVE-2021-3002 . La explotación parece fácil. El ataque se puede lanzar de forma remota. La explotación exitosa necesita una única autenticación. Exige que la víctima esté realizando algún tipo de interacción con el usuario. Se conocen los detalles técnicos de la vulnerabilidad, pero no hay ningún exploit disponible. La técnica de ataque implementada por este problema es T1059.007 según MITRE ATT & CK.

POST /seo/seopanel/login.php?sec=forgot HTTP/1.1

Host: xxx

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:84.0) Gecko/20100101 Firefox/84.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8

Accept-Language: it-IT,it;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded

Content-Length: 114

Origin: xxx

DNT: 1

Connection: close

Referer: xxx

Cookie: hidenews=1; PHPSESSID=xxx

Upgrade-Insecure-Requests: 1

sec=requestpass&email=test%40test.ttv3e5i%22%3e%3cimg%20src%3da%20onerror%3dalert("Xss")%3egcuak&code=OVJDT&login=

Referencias:

http://www.cinquino.eu/SeoPanelReflect.htm

https://github.com/seopanel/Seo-Panel/issues/202

Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias

Compartir en Facebook Compartir en twitter

Semrush sigue a tu competencia

Fecha actualización el 2021-01-05. Fecha publicación el 2021-01-05. Categoría: vulnerabilidad Autor: Oscar olg Mapa del sitio Fuente: incibe